Dokuz Eylül Üniversitesi Sosyal Bilimler Enstitüsü Dergisi Cilt: 17, … · Koruyan, K., Bingöl, F. I. DEÜ SBE Dergisi, Cilt: 17, Sayı: 3 368 market in the information technology

367

Yayın Geliş Tarihi: 27.05.2015 Dokuz Eylül Üniversitesi Yayına Kabul Tarihi: 27.09.2015 Sosyal Bilimler Enstitüsü Dergisi Online Yayın Tarihi: 26.02.2016 Cilt: 17, Sayı: 3, Yıl: 2015, Sayfa: 367-388 http://dx.doi.org/10.16953/deusbed.67150 ISSN: 1302-3284 E-ISSN: 1308-0911

BULUT BİLİŞİM HİZMET SAĞLAYICILARININ VERİYİ KORUYAMAMALARI DURUMUYLA İLGİLİ TÜRK, AVRUPA BİRLİĞİ

VE AMERİKAN HUKUKUNDAKİ DÜZENLEMELER

Kutan KORUYAN* F. Itır BİNGÖL**

Öz

Bilgisayar ağları üzerinden, zaman ve mekândan bağımsız olarak bilgisayar kaynaklarına olan erişime olanak sağlayan bulut bilişim teknolojisi, günümüzde bilişim teknolojisi sektöründe önemli bir pazar haline gelmiştir. İşletmelerin bilişim teknolojisi faaliyetlerini üçüncü şirketlere hizmet alma yolu ile devretmesi, maliyetleri düşürse de özellikle bu işletmelerin verilerinin bulut bilişim hizmet sağlayıcısı tarafından saklanması ve bu verilerin korunamaması durumunda birçok hukuki sorun ortaya çıkmaktadır. Bazı devletler bu olumsuzlukları önlemek için kanun ve yönetmelikler çıkartsa da Türkiye'nin de aralarında bulunduğu çoğu ülkede özellikle kişisel verilerin korunmasına yönelik kanun ve yönetmeliklerin yeterli seviyede olmadığı görülmektedir. 2008 yılında, Türkiye’nin Avrupa Birliği (AB) uyum süreci çerçevesi içinde Kişisel Verilerin Korunması Kanun Tasarısı hazırlanmış, ancak henüz yasalaşmamıştır. Bu yasanın çıkmasının Türkiye’yi bilişim güvenliği açısından daha güvenli ülke kategorisine sokacağı gerçeği göz önüne alındığında, tasarının bir an önce yasalaşmasında büyük menfaat vardır. Bu çalışmada; AB ve Amerika Birleşik Devletleri’ndeki veri kaybıyla ilgili düzenlemeler incelenmiş ve Türk hukukunda Kişisel Verilerin Korunması Kanun Tasarısı yürürlüğe girinceye kadar uygulanacak olan mevzuattaki hükümler açıklanmıştır. Ayrıca, Kişisel Verilerin Korunması Kanun Tasarısı’nın getirdiği hükümlerin AB mevzuatındaki düzenlemelerle uyumu incelenmiştir.

Anahtar Kelimeler: Bulut Bilişim, Veri Kaybı, Kişisel Verilerin Korunması Kanun Tasarısı, Bilişim Hukuku.

THE REGULATIONS IN TURKISH, THE EUROPEAN UNION AND

AMERICAN LAWS REGARDING DATA PROTECTION FAILURE BY CLOUD COMPUTING SERVICE PROVIDERS

Abstract

Cloud computing technology, which enables access to computing resources from computer networks independent of time and place, it has currently become an important

* Yrd. Doç. Dr., Dokuz Eylül Üniversitesi, İktisadi ve İdari Bilimler Fakültesi, Yönetim Bilişim Sistemleri Bölümü, [email protected] ** Yrd. Doç. Dr., Dokuz Eylül Üniversitesi, İktisadi ve İdari Bilimler Fakültesi, İşletme Bölümü, [email protected]

Koruyan, K., Bingöl, F. I. DEÜ SBE Dergisi, Cilt: 17, Sayı: 3

368

market in the information technology sector. Although outsourcing information technology operations to third parties reduces the costs, various questions of law ensue especially regarding the storage of data by cloud computing service providers and their failure to protect these data. Some countries have enacted laws and regulations to avoid these problems, but in most countries including Turkey, the laws and regulations are insufficient particularly with regard to the protection of personal data. In 2008, the draft of the Personal Data Protection Law was prepared within the framework of Turkey’s European Union (EU) harmonization process, but it has still not become a law. As the enactment of this law will place Turkey among the more trusted countries with respect to information security, the passing of this draft is of great significance. In this study, the regulations on data loss in EU and the United States of America were studied and the provisions of the legislation in effect until the draft of the Personal Data Protection Law is enacted was explained. Furthermore, the compliance of the draft of the Personal Data Protection Law’s provisions to the regulations in EU legislations was investigated.

Keywords: Cloud Computing, Data Loss, the Draft of Personal Data Protection Law, Information Technology Law.

GİRİŞ

Küresel ekonominin rekabetçi ortamında bilgiye ulaşma, bilgiyi yönetme ve değerlendirme aşamalarında işletmelerin bilgi teknolojilerinden (BT) yararlanması günümüz koşullarında zorunlu hale gelmiştir. Özellikle işletmelerin kendi içlerinde sürdürdükleri bilişim faaliyetleri, iş yüklerini azaltsa da bu faaliyetler ek maliyetleri beraberinde getirmektedir. Ayrıca, teknoloji yatırımları küçük işletmeler için ise yüklü miktarda mali kaynak gerektirmektedir.

İşletmelerin maliyetleri en aza indirme çabası, teknolojik yatırımlar göz önünde bulundurulduğunda, son on yılda hem teknolojik hem de ekonomik anlamda önemli mesafeler kat eden bulut bilişim (BB) teknolojisi ile yerine getirilebilmektedir. İşletmeler BB ile kendi bilişim faaliyetlerini üçüncü şirketlere devrederek, dışarıdan hizmet almaları yoluyla donanım, yazılım, teknik servis veya nitelikli eleman gibi teknoloji maliyetlerini en aza indirebilmektedirler.

BB’in küresel ekonomideki yükselişi ile beraber, devletleri özellikle bilgi güvenliği, kişisel verilerin gizliliği, veri kaybı, verilerin nerede saklandığı gibi konularda özel önlemler alma yoluna götürmüştür. BB’i verimli bir şekilde kullanarak daha güvenli bir ortamda iş yapma anlayışı, ancak devletlerin yürürlüğe koyduğu kanun ve yönetmelikler ile sağlanabilmektedir. Bunun yanında, BB’e yönelik bu düzenlemeler Türkiye de dâhil olmak üzere birçok ülkede hala yeterli seviyede değildir.

The Software Alliance (BSA, 2013: 11) tarafından yayınlanan ve BB sektörünü etkileyen uluslararası yasal düzenlemelerdeki olumlu değişiklikleri inceleyen raporda ilk üç sırayı Japonya, Avustralya ve ABD alırken, Türkiye 2012’ye göre bir basamak daha gerileyerek 24 ülke arasından 18. sıraya yerleşmiştir. Ayrıca, BT alanından önemli ekonomik pazara sahip olan bazı

Bulut Bilişim Hizmet… DEU Journal of GSSS, Vol: 17, Issue: 3

369

ülkelerin -ki bunlar arasında AB üyesi 6 ülke de bulunmaktadır- BB ile ilgili yasal düzenlemelerde ilerleme kaydedememiş olmaları aynı raporda yer almaktadır. Buna ek olarak; Kore, Endonezya ve Vietnam gibi bazı ülkelerin düzenlemelerinin ise BT sektörüne uyumlu olmaması nedeniyle, bu ülkelerin küresel bulut pazarında yer edinemedikleri görülmektedir (Bilgiç, 2013: 2).

Türkiye'de ise 2008 yılında hazırlanan, halen yasalaşmayan ve BB için önem arz eden Kişisel Verilerin Korunması Kanunu Tasarısı’nın kurum ve araştırmacılar tarafından bir an önce kanunlaşarak yürürlüğe girmesinin gerekliliği vurgulanmaktadır (Bilişim ve İnternet Araştırma Komisyonu, 2013: 62; Henkoğlu ve Külcü, 2013: 77; Özdaş, 2014: 85; Tekin, 2014: 256; Türkiye Bilişim Derneği, 2013: 25). Tasarı’nın bir an önce yasalaşması durumunda, BB de dâhil olmak üzere çevrimiçi (online) veri paylaşımından doğan uyuşmazlıkların, konuyla ilgili teknik yasa hükümlerinden yararlanarak çözüme kavuşturulacak olması nedeniyle uyuşmazlık taraflarına daha fazla güven verecektir. Böylelikle, kullanıcılar kanunlarla korunarak daha güvenli bir ortamda hizmet alacaklardır.

Bu çalışmada, kendi hukuk sistemlerinde BB ile ilgili olumlu düzenlemelere sahip AB ve ABD hukuku ile Türkiye’de Kişisel Verilerin Korunması Kanunu'nun henüz tasarı halinde olduğu günümüzde, BB'e yönelik gerçek veya tüzel kişilerin verilerinin kaybolması ya da zarar görmesi durumunda, Türk hukuk sisteminde dolaylı olarak konuyla ilgili kanun ve yönetmeliklerin neler olduğu açıklanmaktadır. Bununla birlikte, Kişisel Verilerin Korunması Kanun Tasarısı'nın getireceği çözümler de değerlendirilmektedir.

BULUT BİLİŞİM

BB; getirdiği teknolojik yenilikler, kaynak israfının önlenmesi, iş süreçlerindeki hızlanma, çevresel etkiler (yeşil bilişim) gibi etkenler göz önüne alındığında, günümüz ve gelecek için önemli bir BT’dir. Bununla birlikte, bilişim sektörü için de önemli bir pazardır. Markets and Markets’in (2011) yayınladığı rapora göre, küresel BB pazarının 2015’de 121,1 milyar dolar olacağı tahmin edilirken, Forrester Research’ün (2011) 2020 yılı BB pazar tahmini ise 241 milyar dolardır.

BB en temel tanımıyla donanım, sistem yazılımı ve uygulamaların internet üzerinden bir hizmet olarak dağıtılmasıdır. Bu modelde veri işleme ve hesaplamalar herhangi bir yerdeki “bulutta” yapılmakta, bazı veri merkezleri üçüncü şahıslara ait olup işletilebilmektedir (Jin, vd. 2010: 3). Bu bilişim hizmetini veren bulut bilişim hizmet sağlayıcıları (BBHS) bir ücret karşılığında veya kullanıcı hizmeti ne kadar kullanırsa o kadar ücretlendirmesi yoluyla son kullanıcıya ulaştırmaktadır.


370

BB’in literatürde en çok rağbet gören tanımı ise Mell ve Grance (2011: 2) tarafından "Bulut Bilişimin NIST1 tanımı" başlığı altında yapılmıştır. Mell ve Grance (2011: 2) BB’i; asgari yönetim çabası ve hizmet sağlayıcısı desteğiyle yayımlanabilecek ortak havuzlara ve yapılandırılabilir bilişim kaynaklarına (örneğin; ağlar, sunucular, veri tabanları, uygulamalar ve hizmetler) bilgisayar ağları üzerinden talep üzerine anında erişime olanak tanıyan bir model olarak tanımlamıştır.

BB’in temel niteliklerini ise Mell ve Grance (2011: 2) şu şekilde belirtilmiştir:

Talep üzerine kendi kendine hizmet (On-demand self service), Geniş ağ erişimi (Broad network access), Kaynak havuzu (Resource pooling), Hızlı esneklik (Rapid elasticity), Ölçülen hizmet (Measured service).

Yukarıda sayılan bu özellikler BB’in doğasını anlamak için önem arz etmektedir. Öyle ki; bilişim kaynakları BB sayesinde, ihtiyaç duyulduğu anda ve ihtiyaç duyulduğu kadar, BBHS ile herhangi bir etkileşime girmeden kullanıcı tarafından belirlenebilmektedir. Bunun yanında; bulutta saklanan veriye istenilen yerden (internete bağlı herhangi bir bilgisayardan), istenilen zamanda (sunucunun faaliyette olduğu herhangi bir zamanda) ve istenilen bilişim ortamından (bilgisayar, akıllı telefon, vb.) ulaşılabilmektedir. Veri depolama, veri işleme, bellek ve bant genişliği gibi kaynakların kapasiteleri kullanıcının elinde olup istediğinde hızlıca değiştirilebilir, azaltılıp arttırılabilmektedir. Ayrıca, bilişim kaynaklarının kullanımı gözlenip, kontrol edilip, raporlanabilmekte böylece, yararlanılan hizmet için hem BBHS hem de kullanıcı için şeffaflık sağlanmaktadır.

Mell ve Grance (2011: 2) BB’i yayımlama modeli olarak da özel, topluluk, genel ve melez bulut olmak üzere dört ana başlık altında toplamıştır. Yayımlama modelleri, bilişim kaynaklarının yönetimi ve müşterilere tahsisi konularının yanı sıra müşteri sınıflarının ayrıştırılmasını da detaylıca tanımlamaktadır (TSE, 2014: 11):

Özel bulut: Bilişim ortamı tek bir kuruluş tarafından işletilir. Yine aynı kuruluş tarafından işletilebileceği gibi harici kuruluşlar tarafından da yönetilebilir. Sistem, kuruluşun kendi veri merkezlerinde barındırılabileceği gibi kuruluş dışında da barındırılabilir. Özel bulut, kuruluşa sistem kaynaklarının yönetiminde tam kontrol imkânı sunar.

Topluluk bulutu: Genel bulut ile özel bulut arasında kalan bir modeldir. Yapı olarak özel buluta benzemekle birlikte bulut tek bir kuruluş tarafından değil, aynı gizlilik gereksinimlerine sahip birden çok kuruluş tarafından işletilir.

1 Ulusal Standartlar ve Teknoloji Enstitüsü, National Institute of Standards and Technology.


371

Genel bulut: Bir altyapının ve içerdiği bilişim kaynaklarının internette genel erişime açık olduğu yayımlama modelidir. Genel bulut hizmeti bir bulut hizmet sağlayıcısından temin edilir.

Melez bulut: Hem genel hem de özel bulutları içeren daha karmaşık bir yapıdır.

Yayımlama modellerinin güvenlik ve gizliliğe farklı etkilerinin olmasına karşın, modelin kendisi belli bir güvenlik ve gizlilik seviyesi dayatmaz. Seviye, güvenlik ve gizlilik poliçesine, bulut ortamının sağladığı kontrol sistemlerinin sağlamlığına ve hizmet sağlayıcısı ya da kuruluş tarafından belirlenen yönetimle ilgili detaylar gibi etkenlere bağlıdır (TSE, 2014: 11).

İşletmelerin bulut hizmeti almaya karar vermeleri durumunda, bu hizmet işletmelerin yararına olacaksa da hangi hizmet modeline (yazılım, platform veya altyapı) ihtiyaç duyulduğunun belirlenmesi işletmeler açısından önem taşımaktadır. BB hizmet modelleri çeşitli yazarlar tarafından şöyle açıklanmıştır (Arrasjid, vd. 2011: 9; Baun, vd. 2011: 18; Smoot ve Tan, 2012: 10):

Yazılım Hizmeti (Software as a Service, SaaS): Bilgisayar uygulamaları internet üzerinden hizmet olarak dağıtılır. Ücretli hizmetler genellikle abonelik tabanlı çalışarak, ücretlendirme kullanıcı başına veya kullanım başına yapılır. SaaS’a örnek olarak Gmail ve Google Drive sayılabilmektedir.

Altyapı Hizmeti (Infrastructure as a Service, IaaS): Kullanıcılara işleme, depolama, bilgisayar ağları ve diğer temel bilişim kaynakları tedarik edilmiştir. Kullanıcı işletim sistemleri ve uygulamaların dâhil olduğu isteğe bağlı yazılımları çalıştırabilmektedir. Kullanıcı temel bulut altyapısını yönetemez veya kontrol edemezken, işletim sistemleri, depolama, uygulamalar ve sınırlı olarak ağ bileşenleri (örneğin, güvenlik duvarı) üzerinde kontrol sahibidir. Amazon Web Services Iaas’a en iyi örnektir.

Platform Hizmeti (Platform as a Service, PaaS): Hedef kitlesi daha çok son kullanıcılar olmayıp, geliştiricilere yöneliktir. Özel programlama dillerinde yazılan, işletmelere özel yazılımlar bu programlama ve yürütme ortamlarında çalıştırılırlar. Google App Engine bu hizmete bir örnektir.

BBHS’nın sunduğu hizmet modellerinin seçimi sonradan oluşabilecek olumsuzlukların da göz önünde bulundurulması için ayrıca önemlidir. Örneğin, SaaS modelini kullanan bir işletme BBHS’nın hatasından dolayı başka bir müşterinin verilerine ulaşabilmektedir. SaaS için başka bir olumsuzluk ise BBHS çalışanları bazen kullanıcıların verilerine doğrudan erişebilmektedir (Rountree ve Castrillo, 2014: 54). IaaS için güvenlik sorunları teoride pek yokmuş gibi gözükse de pratikte özellikle verinin fiziksel olarak hala BBHS'nın donanımında yer alıyor olması bir güvenlik sorunu olarak ortaya çıkmaktadır (Subashini ve Kavitha, 2011:


372

9). PaaS için güvenlik riski daha çok BBHS’nın tüm sisteme erişimine sahip olmasından dolayı, kullanıcının uygulama ve verilerine de erişimi hakkı olduğudur (Rountree ve Castrillo, 2014: 66).

BB’in faydaları işletmeler için ekonomik (BT giderleri, kullandığın kadar öde, vb.) ve teknolojik (herhangi bir yerden erişim, bedelsiz yazılım güncelleme, vb.) yönde olup, dezavantajları ise çoğunlukla saklanan verinin nerede (örneğin, farklı bir ülkede) depolandığının bilinmemesi, sistemde aksamalar ve veri kaybı olarak sıralanmaktadır (Hill, vd., 2013: 16; Williams, 2010: 37).

BULUT BİLİŞİM KULLANICILARININ KARŞILAŞABİLECEKLERİ HUKUKİ SORUNLAR VE VERİ KAYBI

BB kullanıcılarının karşılaşabilecekleri sorunlar Williams (2010: 40) tarafından iç, dış ve veri koruma riskleri olarak üç başlıkta incelenmiştir. Bunlar;

İç güvenlik riskleri: Eski çalışanların şifrelerinin iptal edilmemesi, Kullanıcıların kendi kullanıcı adı ve şifrelerini güvensiz ortamlarda

kullanmaları, Zayıf kullanıcı ismi ve şifreleri. Dış güvenlik riskleri: Servis sağlayıcısı teknolojik hatası yüzünden oluşan güvenlik

sorunları, Servis sağlayıcısı çalışanlarının dikkatsizliğinden doğacak bilgisayar

korsanlığı. Veri koruma riskleri: Verilerin nerede tutulduğu veya nerelere dağıldığı, Kimlerin veriye erişebildiği.

Kullanıcıların karşılaşabilecekleri bir diğer sorun, BBHS kaynaklı kesintileridir (Armbrust, vd., 2009: 14). Bu kesintiler buluta bağlı çalışan şirketlerde iş kaybına ve böylelikle maliyet artışına sebep olacaktır. Örneğin, Salesforce’un 2009 yılında yaşadığı 38 dakikalık kesinti nedeniyle milyonlarca müşteri, verileri kitlendiği için işlem yapamamışlardır. 2010 yılında ise iki gün boyunca 300.000’den fazla müşteri Intuit’in çevrimiçi hizmetlerine ulaşamamıştır (Laudon ve Laudon, 2012: 152, 322).

BB hizmetlerinde; BBHS’nın veriyi kaybetmesi ya da koruyamaması önemli bir risktir. BBHS, depolanan bilgileri her zaman kullanıcı ile aynı ülkedeki sunucularda barındırmayabilmekte ve farklı ülkelerdeki sunucularda saklayabilmektedir (Svantesson ve Clarke, 2010: 391).

BBHS’na yönelik, depolanan kişisel verilerin güvenliğiyle ilgili olarak en azından dört farklı hukukla ilişki kurulabilmektedir:


373

BBHS’nin bulunduğu yer hukuku, Kullanıcının bulunduğu ülke hukuku, Bilgileri BBHS’nda depolanan şahsın bulunduğu ülke hukuku, BBHS’nın ikametgâhının bulunduğu yer hukuku.

BBHS’nın verileri farklı ülkelerdeki sunucularda depolaması durumunda uygulanabilecek hukuk sayısını arttırmaktadır. Verilerin tutulduğu sunucuların bulunduğu devletin hukuklarının getirdiği düzenlemelerin birbirinden uzak olması durumunda sorunlar doğabileceği düşünülmektedir (Dutta ve Mia, 2010: 111; ENISA, 2009: 46; European Parliament, 2012: 47; Oppenheim, 2012: 455; Trappler, 2010).

BULUT BİLİŞİM HİZMET SAĞLAYICISININ KULLANICILARIN VERİLERİNİ KAYBETMESİ YA DA GEREĞİ GİBİ KORUYAMAMASI HUSUSUYLA İLGİLİ FARKLI HUKUK SİSTEMLERİNDEKİ DÜZENLEMELER

BB’in ulusal ve uluslararası düzeyde ekonomik sonuçları olan bir hizmeti ifade etmesi nedeniyle, BB hizmeti sunanlar ve bu hizmetten yararlananlar açısından kurdukları ilişki ve işlemler, hukuki sonuçlarını da beraberinde getirmektedir. Bu nedenle, BB hizmetinden yararlanan kullanıcıların haklarının ulusal ve uluslararası alanda yasal düzenlemelerle güvence altına alınması zorunluluğu doğmuştur. Dünya ekonomisindeki ağırlığı açısından AB ve ABD’nin bu alandaki hukuk sistemleri ile Türk hukuk sisteminin değerlendirilmesinde yarar vardır.

Türk Hukuku’nda Konuyla İlgili Özel Düzenlemeler Türk hukuk sisteminde kişisel bilgilerin gizliliğinin korunması konusunu

doğrudan ilgilendiren bir düzenleme bulunmamaktadır. 2008 yılında hazırlanan Kişisel Verilerin Korunması Kanun Tasarısı halen yasalaşmamıştır. Anayasa’nın 20’nci maddesi (2010 yılında ek yapılarak) konuyu doğrudan ilgilendirmesine rağmen, kişisel verilerin gizliliğinin korunması konusu dolaylı olarak farklı kanun ve yönetmeliklerle ilişkilendirilmektedir2. Türk Ceza Kanunu’nun 135. maddesinde kişisel verilerin kaydedilmesi, 136. maddesinde verileri hukuka aykırı olarak verme veya ele geçirme, 138. maddesinde verileri yok etmeme durumları düzenlenmiştir.

Elektronik haberleşme kanunu

5809 sayılı Elektronik Haberleşme Kanunu’nun 4. maddesinin 1. fıkrasının (l) bendine göre her türlü elektronik haberleşme mercileri tarafından elektronik haberleşme hizmetinin sunulmasında ve bu hususta yapılacak düzenlemelerde bilgi güvenliği ve haberleşme gizliliğinin gözetilmesi ilkeleri göz önünde tutulmaktadır.

2 Ayrıca bkz. Şimşek, O. (2008). Anayasa Hukukunda Kişisel Verilerin Korunması. İstanbul: Beta Basım Yayım Dağıtım.


374

Kanun’un 6. maddesinin 1. fıkrasının, c bendine göre Bilgi Teknolojileri ve İletişim Kurumu’nun (BTK) görev ve yetkileri arasında abone, kullanıcı, tüketici ve son kullanıcıların hakları ile kişisel bilgilerinin işlenmesi ve gizliliğinin korunmasına ilişkin gerekli düzenlemeleri ve denetlemeleri yapmak da gelmektedir.

Kanun’un 12. maddesinin 1. fıkrasının d bendinde işletmecinin hak ve yükümlülükleri arasında kişisel veri ve gizliliğin korunması konuları da yer almaktadır.

Kanun’un 51. maddesi, kişisel verilerin işlenmesi ve gizliliğin korunması başlığını taşımakta ve BTK’ya elektronik haberleşme sektörüyle ilgili kişisel verilerin işlenmesi ve gizliliğinin korunmasına yönelik usul ve esasları belirleme konusunda yetki vermektedir. Ancak, Anayasa Mahkemesi 09.04.2014 tarihli kararıyla bu maddeyi iptal etmiştir3.

Anayasa Mahkemesi, yasayla düzenlenmesi öngörülen konularda yürütme organına genel ve sınırları belirsiz bir düzenleme yetkisinin verilmesinin mümkün olamayacağını, idareye verilen böyle bir yetkinin geçerli olabilmesi için yasada bu yetkinin çerçevesinin çizilmesinin, temel ilkelerinin belirlenmesinin gerekeceğini belirtmiştir. Bu belirlemeler yapılmadan idareye verilen sınırsız ve belirsiz yetkiyi, Anayasanın 13. ve 20. maddelerine aykırı bulmuş, ayrıca bu durum Anayasa’nın 2. maddesindeki hukuk devleti ilkesi ve 7. maddesi ile de bağdaştırılamadığından söz konusu yasa hükmünün iptaline karar verilmiştir.

Kanun’un 60. maddesi gereği eğer BTK, veri gizliliğinin korunamadığını tespit ederse, veri gizliliğini ihlâl eden işletmecilere bir önceki takvim yılındaki net satışlarının yüzde üçüne kadar idari para cezası vermeye yetkilidir. Görüldüğü üzere, bu kanun veriyi koruyamayan işletmeciye idari para cezası vermekte, ancak verisi kaybedilen kişiye doğrudan doğruya işletmeciye başvurma hakkı vermemektedir.

Bu durumda kullanıcı, veri kaybından doğan zararını aralarındaki vekâlet sözleşmesinin gereği gibi ifa edilmemesi sebebine dayanarak vekâlet hükümlerine, burada bir hüküm bulunmaması durumunda ise 6098 sayılı Türk Borçlar Kanunu’ndaki sözleşmeye aykırılık hükümleri vasıtasıyla yani mevzuattaki genel hükümlere dayanarak isteyebilecektir.

Elektronik haberleşme sektöründe kişisel verilerin işlenmesi ve gizliliğinin korunması hakkında yönetmelik

Bu yönetmelik, 28363 sayılı ve 24 Temmuz 2012 tarihli Resmi Gazete’de yayınlanan ve 5809 sayılı Elektronik Haberleşme Kanunu’nun ilgili maddelerine dayanılarak çıkarılmıştır.

3 26.07.2014 tarihli ve 29072 sayılı Resmi Gazete.


375

Yönetmelik’in amacı ilk maddesinde açıklanmıştır. Buna göre; “Elektronik haberleşme sektöründe kişisel verilerin işlenmesi, saklanması ve gizliliğinin korunması için elektronik haberleşme sektöründe faaliyet gösteren işletmecilerin uyacakları usul ve esasları düzenlemektir”.

Yönetmeliğin 3. maddesinin 1. fıkrasının (h) bendinde kişisel verinin tanımı yapılmıştır. Buna göre kişisel veri, “Belirli ya da kimliği belirlenebilir gerçek ve tüzel kişilere ilişkin bütün bilgiler” olarak tanımlanmıştır.

Aynı maddenin (1) bendinde ise kişisel veri ihlâli, “İstem dışı, yetki dışı ya da yasa dışı olarak, kişisel verilerin tahrip edilmesine, kaybolmasına, iletilmesine, değiştirilmesine, depolanmasına veya başka bir ortama kaydedilmesine, işlenmesine, ifşa edilmesine ve söz konusu verilere erişilmesine neden olan güvenlik ihlalini” ifade eder.

Yönetmeliğin 4. maddesinin 4. fıkrasına 11 Temmuz 2013 tarihli ve 28704 sayılı Resmi Gazete’de yayınlanan Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi ve Gizliliğinin Korunması Hakkında Yönetmelikte Değişiklik Yapılmasına Dair Yönetmelik’in 2. Maddesi ile şu hüküm eklenmiştir: “İşletmeci tarafından yetkilendirilen taraflarca bu yönetmelik hükümlerinin ihlâl edilmesi de dâhil olmak üzere kişisel verilerin gizliliğinin, güvenliğinin ve amacı doğrultusunda kullanılmasının temininden işletmeci sorumludur”.

Yönetmeliğin 5. maddesi güvenlik başlığını taşımaktadır ve şu hükme yer vermektedir: “…İşletmeciler şebekelerinin, abonelerine/kullanıcılarına ait kişisel verilerin ve sundukları hizmetlerin güvenliğini sağlamak amacıyla uygun teknik ve idari tedbirleri alır. Söz konusu güvenlik tedbirleri, teknolojik imkânlar göz önünde bulundurularak muhtemel riske uygun bir düzeyde sağlanır”. Buradaki teknolojik imkânların sağladığı düzeydeki tedbirlerden anlaşılması gereken, teknolojinin sunmuş olduğu en üst düzey tedbirler olarak düşünülebilmektedir. BBHS müşteri sayısı çok hızlı bir oranda artış gösterirken, verilerin korunması hususunda yeterince önlem alınmaması ve makul seviyede bir koruyucu tedbirle yetinilmesi durumunda, veri kayıplarının ve verilerin izinsiz ele geçirilmesinin önüne geçilemeyebilmektedir. Nitekim BBHS’nın aynı zamanda bir tacir de olacağı göz önünde bulundurulursa, tacirin basiretli davranma yükümlülüğünün bir gereği olarak kendisinden verilerin korunması için en üst düzeyde tedbir alması beklenecektir.

Yönetmeliğin 21. maddesinde işletmecilerin bu yönetmelik ile belirlenen yükümlülükleri yerine getirmemeleri halinde İşletmecilere Uygulanacak İdari Para Cezaları ile Diğer Müeyyide ve Tedbirler Hakkında Yönetmelik hükümlerinin uygulanacağı belirtilmiştir. Söz konusu yönetmelik 15 Şubat 2014 tarih ve 28914 sayılı Resmi Gazete’de yayınlanan BTK İdari Yaptırımlar Yönetmeliği ile yürürlükten kaldırılmış ve ona yapılan atıfların yeni yönetmeliğe yapıldığı kabul edilmiştir. Yeni yönetmelikte işletmeciye uygulanacak bir idari para cezası söz konusudur.


376

Elektronik haberleşme sektöründe tüketici hakları yönetmeliği

Bu yönetmeliğin 4. maddesinin 1. fıkrasının f bendinde kişisel verinin tanımı yapılmakta ve 23. maddesi gereği bu yönetmelikle belirlenen yükümlülüklerini ihlâl etmeleri durumunda da BTK İdari Yaptırımlar Yönetmeliği hükümlerinin uygulanacağı belirtilmektedir4.

Avrupa Birliği’nde Konuyla İlgili Düzenlemeler

Avrupa Birliği’nin 95/46 sayılı direktifi

AB’nin 1995 yılı Bireylerin Verilerinin İşlenmesi ve Serbest Dolaşımının Korunmasına İlişkin Direktifi (Veri Koruma Direktifi, The Protection of Individuals with Regard to the Processing of Personal Data and on the Free Movement of Such Data), üye ülkelere ülke sınırlarını aşan kişisel verilerin korunması konusunda kapsamlı yasal düzenlemeler yapma yükümlülüğü getirmektedir. Söz konusu Direktif’in 25. maddesinin 1. fıkrasında, üye ülkelerin kişisel veri kayıtlarını AB’nin gizliliği korumayla ilgili standartlarını yakalayamayan ülkelerle paylaşılmasını yasaklayan bir hükme yer verilmiştir. Direktif’in getirdiği düzenlemeyle veriler ancak ‘güvenli limanlarda’ dolaşabilmektedir.

BBHS bazen AB sınırları dışındaki ülkelerdeki yerel hizmet sağlayıcılardan yararlanabilmektedirler. Bu durum, özellikle kullanıcının verinin hangi ülkede tutulduğunu ya da hangi ülkeye gönderildiğinden habersiz olduğu durumlarda, kullanıcıyı gizlilik konusundaki temel prensiplerin ve hukukî düzenlemelerin korumasından mahrum bırakabilmektedir (Onwubiko, 2010: 271, 288). BB pazarında hizmet sağlayıcılarının amaçlarından biri, ellerindeki veriyi kendileri için en ekonomik şekilde ve yerde depolamak olduğu göz önünde bulundurulacak olursa, bu durumun önemi bir kez daha ortaya çıkmaktadır. BBHS, kullanıcı verilerini bulabildiği uygun bir sunucuda depolamakta, orada bir süre bekledikten sonraysa veriyi başka bir yerdeki merkeze göndererek orada depolamaktadır. Bu süreçte kullanıcının zarar görmemesi için BBHS ile yapılan sözleşmede depolanan verilerin güvenliği ile ilgili bir sorun yaşanırsa kullanıcının, AB’nin veri koruma yasalarının sağladığı korumadan yararlanabileceği hususunda bir şarta yer verilmesi tavsiye edilmektedir. Ancak, BBHS’nın kullanıcılarla yaptıkları sözleşmelerde standart sözleşmeleri tercih etmeleri ve sözleşme şartlarını kullanıcılarla müzakere etmemeleri nedeniyle kullanıcıların sözleşmelerde böyle bir şarta yer verebilmeleri pek mümkün olmamaktadır (Oppenheim, 2012: 455). Ancak, tüketici dernekleri ve kamuoyunun destekleriyle standart sözleşmelere de böyle bir şart konulmasının sağlanabileceği kanısındayız.

Buna örnek olarak, SaaS veya IaaS modelini kullanan işletmelerde kişilerin sağlıkla ilgili verilerine BBHS’dan usulsüz olarak erişilebilme ihtimali

4 28.07.2010 tarihli ve 27655 sayılı Resmi Gazete.


377

bulunmakta, bu durum BBHS’nın bazı iç risklerinin bulunduğunu da göstermektedir (Onwubiko, 2010: 279)

Avrupa Birliği’nin 2012/0011 sayılı tüzüğü AB’nin 1995 tarihli Veri Koruma Direktifi’nden bugüne kadar, verilerin

bulutta korunması gibi teknolojide yaşanan ilerleyiş ve küreselleşmenin kazandığı hız, veri koruma kavramına yeni boyutlar getirdiğinden, zaman içinde yaşanan teknolojik gelişmelere daha iyi cevap veren kuralları bir tüzükte toplama fikri ön plana çıkmış ve 25.10.2012 tarihinde Verilerinin İşlenmesi ve Serbest Dolaşımının Korunmasına İlişkin Tüzük (Regulation of the Euroepan Parliament and of the Council on The Protection of Individuals with Regard to the Processing of Personal Data and on the Free Movement of Such Data) yayımlanmıştır (Baker, 2014: 56; King ve Raja, 2013: 413; Xiong, vd., 2014: 1).

AB’nin konuyla ilgili bir direktifi bulunmaktayken bir de aynı konuda tüzük çıkarması şu açıdan önemlidir: AB’nin İşleyişi Hakkında Antlaşması’nın (Treaty on the Functioning of the European Union, TFEU) 288. maddesine göre tüzükler, kabul edilip yayınlandıktan sonra derhal yürürlüğe girmektedir. Buna “doğrudan uygulanırlık” ilkesi denilmektedir (Tekinalp, vd., 2000: 130). Bu durumda Tüzük, üye ülkelerin parlamentoları tarafından tekrar uygun bulma yasası çıkartmaya gerek kalmadan o üye ülkede uygulanabilecektir.

Direktifler, uygulandıkları ülkelerde üye ülkelerin farklı yorumlamalarıyla karşılaşabilmektedirler (Hon, vd., 2012: 132). Bunun temel sebebi, üye ülkelerin direktifte istenen sonucu elde ederken izledikleri yöntem ve usulde serbest olmalarıdır. Ayrıca bir direktif genel olarak bağlayıcılığını sadece iç hukuka geçirme süreci tamamlandıktan ve direktif iç hukuka alındıktan sonra kazanmaktadır. Durumun özelliklerinin doğrudan uygulanma şartlarını gerektirdiği hallerde bir direktif uygulanmazsa ya da yanlış uygulanırsa, bu uygulama sonucunda bireyler devlete karşı hak elde edip borç altına giremeyecektir (Rotondo, 2013: 438). Buna karşılık, tüzüklerin doğrudan uygulanma ilkesi, direktiflerin uygulanmaması ya da yanlış uygulanması riskini de ortadan kaldırmaktadır. Bu şekilde tüzüğün getirdiği haklar ve borçlar yeknesak bir şekilde uygulanabilecektir.

Tüzükle getirilen bu düzenlemenin bir diğer gerekçesi de AB Komisyonu’nun enformasyon ve haberleşme teknolojileri alanındaki gelişmeleri hızlı takip edebilmek üzere Avrupa standartlarının oluşturulmasını bir hedef olarak belirlemiş olmasıdır. Komisyon’un bu hedefi “daha hızlı ve daha fazla standart” olarak anılmaktadır ve tüzükler vasıtasıyla bu hedefi yakalamak çok daha kolay olmaktadır.

AB’nin bu Tüzük’ü yayımlamasının bir diğer sebebi de 28 üye ülkenin veri koruma kanunlarının farklılıklarını ortadan kaldırmak suretiyle Birlik içerisinde ticaret yapmak isteyen şirketlere kolaylık sağlamak, aynı zamanda bireylere verilerinin korunması konusunda daha güvenli bir sistem getirmektir. Doktrinde


378

Tüzük’ün getirdiği düzenlemelerin AB pazarında inovasyonu arttıracağı da ileri sürülmektedir (Rotondo, 2013: 438; Signatories to the Statement, 2013: 180, 181).

Tüzük ile düzenleme getirilmiş olmasının, Direktif ile düzenleme yapılmasına göre daha avantajlı olan bir hususu da şudur: Direktiflerin doğrudan etkisi varken, tüzüklerin hem yatay hem de dikey etkisi vardır. Bu nedenle, bireyler de diğer bireylere karşı tüzükten doğan haklarına dayanarak dava açabilmektedirler (Rotondo, 2013: 441; Tekinalp, vd., 2000: 130).

AB’de veri koruma konusunda bir reform yapılarak bir tüzükle koruma getirilmesi, internet kullanıcılarının sisteme olan güvenlerini arttıracağından, kullanıcılar internet ortamında işlem yapmaktan çekinmeyeceklerdir. Bu durumda, internet ortamında yapılan işlemler artacağından internet ekonomisi de olumlu etkilenecektir (European Commission, 2012a). Bunun sonucundan, AB üyesi ülkelerdeki işletmeler de olumlu etkileneceklerdir. Çünkü işletmelerin iş yaptıkları müşterilerine kendilerinde tuttukları verilerin Tüzük’de yer alan koruyucu hükümler sayesinde daha güvenli saklandığını bilmeleri, müşterilerin AB’deki işletmelere olan güvenlerini arttıracak ve onlarla iş yapmayı diğer ülkelerle iş yapmaya tercih edeceklerdir (European Commission, 2012b).

AB’nin reform niteliğindeki bu Tüzük’üne ihtiyaç duyulmasının bir diğer sebebi de bulut yoluyla veri koruma sırasında veri, veri sahibinin bulunduğu ülkenin ve AB’nin dışında bir ülkede işlenip saklanabilmektedir. Bu işlemler sırasında veri sahibi verisinin tıpkı AB sınırları içindeymiş gibi güvence altında olduğunu bilirse bu tür işlemlere girişmekten kaçınmayacak, bu durum da uluslararası iş hayatını olumlu etkileyecektir. Uluslararası iş çevrelerinin birlikte iş yapmalarının önündeki engelleri kaldıracaktır (European Commission, 2012c).

Avrupa Birliği veri koruma tüzüğünün getirdiği yenilikler

2012/0011 sayılı Tüzüğün kabul edilmesi, bütün Avrupa’da veri koruma konusunda yeknesak kuralların uygulanacağı anlamına gelmektedir (European Commission, 2014).

Veri koruma tüzüğünün 1995 tarihli Direktif’den farklı olarak getirdiği “unutulma hakkı”5 ile kişinin verisinin bir süre sonra işlenmiyorsa ya da korunması için bir gerek kalmamışsa silinmesi mümkün olacaktır (European Commission, 2012d). Unutulma hakkı bireyin sahip olduğu bir temel hak olarak değerlendirilmekte ve özellikle aradan yıllar geçmesine rağmen ve ilgisi olmadığı halde bireyi küçük düşüren bir davranışının durmaksızın ya da dönem dönem gündeme getirilmesinin, bireyin bağımsız bir şekilde hayatına devam etme hakkını elinden aldığı kabul edilmekte ve engellenmektedir (Mantelero, 2013: 229).

5 Right to be forgotten: Türk hukukunda Kişisel Verilerin Korunması Kanunu Tasarısı’nın 9. maddesinde bu hak, kişisel verilerin yok edilmesi olarak anılmaktadır.


379

AB Komisyonu’nun getirdiği yeniliklerden birisi de verinin taşınabilme hakkıdır. Veri sahibinin verisini, bir hizmet sağlayıcıdan diğerine taşıyabilmesi kolaylaştırılmış, ayrıca kişilerin verilerine ücretsiz ve kolayca ulaşabilmesi de garanti altına alınmıştır (European Commission, 2012a).

Getirilen yeniliklerden bir diğeri ise şirketlere veriyle ilgili kayıp, tahrip, yetkisi olmayan kişilerin eline geçme gibi ciddi ihlâllerin vakit kaybetmeden (mümkünse 24 saat içinde) veri sahibine ve ilgili idari birimlere bildirme yükümlülüğünün getirilmesidir (European Commission, 2012d).

AB, birlik dışındaki ülkelerle işbirliği yaparsa, merkezi AB sınırları içinde olmayan şirketler eğer AB sınırları içindeki ülkelere hizmet sunuyorlarsa, o zaman Tüzük’deki kurallar onlara da uygulanacaktır (European Commission, 2012c).

Yukarıda bahsedilen değişiklikler sayesinde veri, internet vasıtasıyla AB dışında bir ülkede saklansa da Tüzük’ün getirdiği korumadan yararlanılacaktır.

AB Veri Koruma Tüzüğü’nün veri kaybından dolayı sorumluluk hususunda getirdiği yenilik ise şudur: Kişisel verisinin kaybedilmesi yahut da tahrip edilmesi gibi hukuka aykırı bir sebeple zarar gören kişi, AB’nin 1995/46 sayılı Direktif’inin sorumluluk başlığını taşıyan 23. maddesinde sadece veri kütüğü sahibi6 olan kişiden tazminat talep edebilmektedir. Oysa tazminat hakkı ve sorumluluk başlığını taşıyan Tüzüğün 77. maddesinde sadece veriyi koruyan değil aynı zaman da veriyi işleyen kişinin de tazminat sorumluluğunun bulunduğu düzenlenmektedir. Birden fazla kişinin zarara sebep olması durumunda ise aralarında müşterek ve müteselsil sorumluluk söz konusudur.

Amerika Birleşik Devletleri’nde Konuyla İlgili Düzenlemeler ABD’de BB sistemi ile ilgili pek az yasal sınırlama bulunmaktadır. Şu

anda kullanıcıların kişisel verilerini korumayı amaçlayan federal düzeyde bir yasa bulunmadığı gibi, kişisel verilerin Amerika dışında bir ülkeye aktarılmasını yasaklayan bir düzenleme de bulunmamaktadır. Sadece ulusal güvenlik gerekçeleriyle bu bilgilerin Amerika dışına aktarılmaları engellenebilmektedir.

ABD hukukunda AB hukukundan farklı olarak “hassas veri” olarak tanımlanan ve daha özel bir koruma gerektiren verilerin neler olduğu tanım olarak verilmemektedir. AB’nin 95/46 sayılı Direktif’inin 8. maddesinde hassas verilerin neler olduğu sayılmış ve doktrinde bunlar hassas veri olarak adlandırılmıştır. Bu maddeye göre kişilerin ırk veya etnik orijinleri, politik düşünceleri, dini ya da felsefi inançları, ticaret birliklerine üyelikleri, sağlık ve seks hayatları ile ilgili bilgilerin işlenmesinin üye devletlerce yasaklanabileceği, bu verilerin işlenmesi için veri sahibinin açık izninin gerekli olduğu belirtilmiştir.

6 Controller, Veri kütüğü sahibi: Kişisel Verilerin Korunması Kanunu Tasarısı’nın, 3. maddesinin gerekçesinde; kişisel verilerin işlenmesinin amaç ve metotlarını tek başına veya başkaları ile birlikte belirleyen gerçek ve tüzel kişileri ifade eder.


380

ABD’de verinin kaynağına ve çeşidine göre bazı koruyucu düzenlemeler bulunmakta, ancak bunlar farklı yasaların içine serpiştirilmiş durumdadır. Örneğin, 1998 tarihli Çocukların Çevrimiçi Gizliliğinin Korunması Kanunu (Children’s Online Privacy Protection Act) 13 yaş altı çocukların kişisel verilerini toplayan web sitelerine ellerindeki veriyi koruma konusunda bir yükümlülük getirmektedir. 1999 tarihli Gramm-Leach-Billey Kanunu’na göre müşterilerinin kişisel verilerine sahip olan finansal kuruluşların bu verileri koruma yükümlülükleri vardır. 1996 tarihli Sağlık Sigortasının Devir Edilebilirliği ve Sorumluluğu Kanunu’na (Health Insuranse Portability and Accountability Act) göre sağlık koruma kuruluşları, hastalara ait elde ettikleri kişisel verileri korumak zorundadırlar. 1970 tarihli Adil Kredi Raporlama Kanunu’na göre kredi raporlama kuruluşlarının müşterilerinin kullandıkları kredi bilgilerini başkalarıyla paylaşmamaları gerekmektedir (King ve Raja, 2012: 311).

ABD hukukunda her ne kadar hassas verilerin genel bir tanımı yapılmamış olsa da yukarıda bahsedildiği üzere farklı kanunlar içerisinde ayrıca tüketici kanununda bu tür verilerin korunmasıyla ilgili özel hükümlere yer verilmiş bulunmaktadır (King ve Raja, 2012: 311). Amerika’da Federal Ticaret Komisyonu (U.S. Federal Trade Comission, FTC) ticaret hayatındaki haksız ve aldatıcı uygulamaları tespit edip bunlara ceza kesen en yüksek devlet kuruluşudur ve bu kuruluş, ticaret hayatındaki birçok işletmenin müşterilerinin verilerini saklamakta yetersiz kaldıkları için kendilerinin yürüttükleri incelemeler sırasında birçok olayda ortada bir “hassas veri” bulunduğunu ve özel olarak korunması gereken bu verinin korunamadığına kanaat getirmiştir. Örneğin, bir finans kurumu niteliğindeki ticari işletmenin müşterisinin kredi kartı numarasını ya da güvenlik kodu gibi başka bir kişisel verisini gizli tutamaması, kullanıcıların kimlik bilgilerinin çalınma riskini doğuracağından, FTC Kanunu’nun 5. maddesine göre bu finans kurumunun haksız rekabette bulunduğu anlamına geleceğine karar vermiştir. FTC, ticaret hayatında kullanıcıların verilerinin yeterince iyi bir şekilde korunması için gerekli tedbirlerin alınmasını istemektedir (King ve Raja, 2012: 311). Bu bağlamda FTC, reklam şirketlerine tüketicilere gönderdikleri reklamlarda onların hassas bilgilerini kullanacaklarsa, bunun için tüketicilerin özel izinlerini almaları gerektiğini belirtmektedir.

Amerikan hukukunda FTC de hassas veri tanımını yapmamıştır. Ancak 2007 yılında sektör temsilcileri ve akademisyenlerin de katılımıyla yapılan iki günlük workshop’taki değerlendirmeler sonrasında varılan sonuçlar üzerinde çalışılarak 2009 yılında yayınlanan ve çevrimiçi olarak yapılan davranışsal reklamcılıkta finansal verilerin, çocuklara ait bilgilerin, sağlık bilgilerinin, devletin verdiği sigorta numarası gibi bilgilerin bazı coğrafi bölge bilgilerinin hassas verilere örnek teşkil edeceğini belirtilmiştir (FTC, 2009).

Birçok BBHS Avrupa’da şubeleri bulunan ABD merkezli şirketlerdir. ABD merkezli bu şirketlerin çoğu, “Güvenli Liman Prensibi”ne (Safe Harbor


381

Principle)7 uymakta ve kendilerindeki verileri AB’nin veri koruma yasalarının sağladığı yasal güvencelerin bulunduğu ülkelerde saklamaktadırlar (Oppenheim, 2012: 455). Ancak ABD’deki BB hizmet sağlayıcılarının hepsinin güvenli liman prensibine uygun hareket ettikleri söylenemez. Geçmişte Amerikan firmaları bu prensipleri kabul etmekte biraz isteksiz davranmışlardır. Nitekim AB Komisyonu’nun 2000 yılında aldığı ‘Güvenli Liman Gizlilik Prensipleri’ kararının ardından altı ay geçmesine rağmen sadece otuz Amerikan şirketi bu prensipleri kabul etmiştir (Grant, 2005: 257). Güvenli liman prensibine uyan şirketlerin listesi Amerikan Ticaret Departmanı (US Department of Commerce, DOC) tarafından internet sitesinden yayınlanmaktadır (Nycum, 2001: 8). Listede yer alan Amerikan şirketlerinin güvenli liman prensiplerine uyup uymadıkları ise FTC tarafından denetlenmektedir (Jaeger, 2014: 26).

Kullanıcılar, güvenli liman prensibine uymayan bir BBHS’dan hizmet aldıkları takdirde servis sağlayıcısının verileri, veri korumayla ilgili yasal düzenlemeleri olmayan yahut da konuyla ilgili yasal düzenlemeleri yeterli olmayan ülkelerde tutması durumunda büyük bir risk altında kalacaklardır. Bunun yanı sıra, hizmet sağlayıcılarının bazıları kullanıcılarla yaptıkları sözleşmelerde verilerin korunmasıyla ilgili olarak AB düzenlemelerine uyacaklarına ya da verileri güvenli limanlarda tutacaklarına dair herhangi bir taahhüde yer vermemektedirler. Endişe verici hususlardan birisi de hizmet sağlayıcıları, kullanıcılarla yaptıkları sözleşmelerde kullanıcıların verilerini incelemek için kullanıcının izninin gerekli olduğuna dair bir hükme de yer vermemektedirler (Oppenheim, 2012: 455).

TÜRK HUKUKUNDA KİŞİSEL VERİLERİN KORUNMASI KANUNU TASARISI’NIN GETİRDİĞİ ÇÖZÜMLERİN DEĞERLENDİRİLMESİ

Bu tasarı, Avrupa Konseyi’nin 108 sayılı Kişisel Verilerin Otomatik İşleme Tabi Tutulması Karşısında Bireylerin Korunması’na ilişkin sözleşmenin getirdiği yükümlülüğün yerine getirilerek veri koruma konusunda bir iç hukuk mevzuatının kabul edilmesi için atılan adımdır. Kişisel Verilerin Korunması Kanunu Tasarısı’nın gerekçesinde de belirtildiği üzere, Türkiye 1981 yılında imzaya açılan

7 Güvenli Liman Prensibi, AB ve İsviçre vatandaşlarını koruyan gizlilik kurallarına ABD şirketlerinin de uyum sağlaması anlamına gelir. Avrupa Komisyonu 2000 yılında kişisel verilerin başka ülkelere transferi konusunda ABD’de mevcut ilkelerin AB’nin Veri Koruma Direktifi ile uyumlu olduğunu ‘Güvenli Liman Kararı’ olarak anılan kararında kabul etmiştir. Ayrıntılı bilgi için bkz. (Henkoğlu ve Külcü, 2013: 75). Ancak bir Facebook kullanıcısının Facebook’taki bilgilerinin yeterince iyi korunmadığı yönündeki iddiasını değerlendiren Avrupa Adalet Divanı Ekim 2015’te Güvenli Liman Kararının geçersiz olduğuna karar vermiştir. Bu karar AB ve ABD yetkilileri arasında ‘Bilginin Okyanus Ötesine Taşınması Hususunda’ yeni çalışmalar başlatmıştır (Court of Justice of the European Union, 2015). Bununla beraber, ABD Ticaret Departmanı, bu süreçte güvenli liman programını yürütmeye devam edeceklerini açıklamıştır (Export.gov, 2015).


382

108 sayılı sözleşmeyi AB Konseyi üyesi diğer devletlerle birlikte imzalamış olmasına rağmen, konuyla ilgili bir iç hukuk düzenlemesi yapmamış olduğu için bu sözleşmeyi onaylamamış olduğu kabul edilmektedir. Tasarı’nın yürürlüğe girmesiyle birlikte bu eksiklik de tamamlanacak ve 108 sayılı Sözleşme Türkiye tarafından da onaylanmış olacaktır.

1995 yılında AB’nin çıkardığı 95/46 sayılı Direktif ile AB üyesi ülkelerin kendi ülkelerinde kabul edecekleri kurallar için ortak bir kurallar çerçevesi çizilmiştir. Tasarı’nın gerekçesinde de belirtildiği gibi, Türkiye 1999 yılında yapılan Helsinki Zirvesi’yle tam üye adayı olarak kabul edildiğinden, bunun bir sonucu olarak da mevzuat uyumlaştırma çalışmaları kapsamında söz konusu Direktif’i de dikkate alarak tasarının hükümleri hazırlanmıştır.

Tasarı’nın 1. maddesinde kanunun amacı, “kişisel verilerin işlenmesinde kişinin dokunulmazlığı, maddi ve manevi varlığı ile temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin uyacakları esas ve usulleri düzenlemek” olarak açıklanmıştır.

Tasarı’nın 3. maddesinin 1. fıkrasının (ç) bendinde, kişisel veri, belirli ya da kimliği belirlenebilir gerçek ve tüzel kişilere ilişkin bütün bilgileri ifade eder denilmektedir. Aynı fıkranın (e) bendinde ise kişisel verilerin işlenmesi kavramının, verilerin elde edilmesi, kaydedilmesi yanında depolanmasının da verinin işlenmesi kavramının içine gireceği belirtilmiştir. Bu durumda, BBHS’nın başkasının verilerini kendi sunucusunda depolaması da bu kanun anlamında veriyi işleme anlamına gelmektedir.

Tasarı’nın 6. maddesinde kişisel verilerin ancak ilgili kişinin “açık rızasıyla” işlenebileceği hükme bağlanmıştır. AB’nin 95/46 sayılı direktifinde “açık rıza” sadece hassas verilerin işlenmesinde aranmaktadır. Hassas olmayan verilerin işlenmesinde ise sadece şüpheye yer vermeyecek şekilde rızanın verilmesi yeterli görülmüş, açık bir rıza aranmamış olduğundan bu verilerin işlenmesinde zımnî bir onay da yeterli olmaktadır. Tasarı’da verilerin işlenmesine verilecek onay açısından hassas ve hassas olmayan veri ayrımı yapılmadığı buradan anlaşılmaktadır. Her tür veri için açık bir rıza aranması daha güvenli bir ortam sağlamaktadır.

Tasarı’nın 7. maddesi, Direktif’in 8. maddesiyle örtüşmekte ve hassas verilerin durumunu düzenlemektedir. Doktrinde hassas veri olarak anılan veriler Tasarı’da şu şekilde sayılmıştır: Kişilerin ırk, siyasî düşünce, felsefî inanç, din, mezhep veya diğer inançları, dernek, vakıf ve sendika üyeliği, sağlık ve özel yaşamları ve her türlü mahkûmiyetleri ile ilgili kişisel veriler işlenemez. Bu verilerin işlenebilmesi Tasarı’da veri sahibinin yazılı iznine bağlanırken, Direktif de açık iznine bağlanmıştır.

Tasarı’nın 14. maddesi eşdeğer bir koruma sağlamayan ülkelere veri aktarımını yasaklamaktadır. Bu hüküm Direktif’in 25. maddesinin 1. fıkrasındaki hükmün paralelidir.


383

Tasarı’nın 15. maddesinde veri kütüğü sahibinin verilerin kaybolmasını yahut da zarar görmesini önlemek için korunacak verinin niteliği, teknolojik imkânlar ve uygulama maliyetine göre uygun teknik ve idari tedbirleri almak zorunda olduğu belirtilmiştir. Bu hüküm Direktif’in 17. maddesindeki hükme paralel bir düzenlemedir. Ancak, Tasarı’nın madde gerekçelerinde teknolojinin ulaştığı en üst düzey dikkate alınarak bu teknolojik seviyenin sağladığı imkânların uygulanma maliyeti de göz önünde bulundurularak uygun bir güvenlik tedbirinin alınmasından bahsedilmektedir. Gerekçede geçen “teknolojinin ulaştığı en üst düzey” ifadesi önemlidir ve veri kütüğü sahibinin bir tacir olduğu durumlar da dikkate alınarak, bu tacirin basiretli davranma yükümlülüğü gereği veri kaybını önleyecek nitelikte en üst düzey koruma tedbirlerini alması beklenmektedir. Eğer veri kütüğü sahibi bu koruma tedbirlerini almazsa ve veri kaybı ya da başka bir nedenle bir zarar doğarsa, kullanıcı doğrudan doğruya bu maddeye dayanarak tazminat talep edebilecektir.

SONUÇ

Türkiye’nin BB alanında uluslararası düzeydeki gelişimi yakalayabilmesi için gerekli hukuki altyapının bir an önce oluşturulması gerekmektedir. Bu sebepten, 2008 tarihli Kişisel Verileri Koruma Kanunu Tasarısı’nın zaman kaybetmeden yasalaşması gerektiği düşünülmektedir. Kanun Tasarısı, AB’nin 95/46 sayılı direktifi göz önüne alınarak düzenlenmiş olup yeterli bir koruma getirmektedir.

Bu çalışmanın amacı, internette bir devrim olarak nitelendirilen bulut hizmetinden yararlanan gerçek veya tüzel kişilerin verilerinin güvenli olarak saklanabilmesi açısından Türk hukukundaki mevcut düzenlemelerin yeterli olup olmadığı ve özellikle Kişisel Verileri Koruma Kanunu Tasarısı’nın getirdiği hükümlerin BB hizmetinden yararlananları yeterince koruyup korumadığı tespit edebilmektir.

Bu çalışmada, mevzuatta konuyla ilgili özel düzenleme niteliğinde olan Elektronik Haberleşme Kanunu, Elektronik Haberleşme Sektöründe Kişisel Verilerin İşlenmesi Ve Gizliliğinin Korunması Hakkında Yönetmelik ve Elektronik Haberleşme Sektöründe Tüketici Hakları Yönetmeliğine göre veri kaybına sebep olan ya da gizliliğin ihlal edilmesine sebep olan işletmeciye idari para cezası uygulanmasını hükme bağlamış olduğunu, ancak veri kaybından dolayı zarara uğrayan kullanıcının işletmeciye doğrudan doğruya dava açması imkânını vermediği tespit edilmiştir. Veri kaybı nedeniyle zarar gören kişi bu zararını ancak Borçlar Kanunu’ndaki genel hükümlere dayanarak tazmin ettirebilecektir.

Kişisel Verileri Koruma Kanunu Tasarısı, AB’nin 1995 yılında kabul etmiş olduğu 95/46 sayılı Bireylerin Verilerinin İşlenmesi ve Serbest Dolaşımının Korunmasına İlişkin Direktifi’ne dayanarak hazırlanmıştır.


384

AB, hem direktiflerin üye ülkelerce farklı uygulanma risklerini ortadan kaldırmak, hem de BB teknolojisinin getirmiş olduğu yeniliklere cevap vermek açısından yeni bir düzenleme daha yapmış ve 2012/0011 sayılı tüzüğü kabul etmiştir. BB teknolojisinin en önemli özelliği, verinin bir ülkede saklanıyor iken anında başka bir ülkede depolanmak üzere transferinin mümkün olmasıdır. Bu durumda, verinin kaybolması halinde depolandığı ülkenin hukuku veri koruma konusunda hassas davranmayarak gerekli yaptırımları uygulamıyorsa veri sahibinin verisinin kaybolması halinde bir mağduriyet yaşayacağı açıktır. Bunun önüne geçebilmek için AB her iki düzenlemesinde de eş değer koruma sağlamayan ülkelere bilgi transferini yasaklamaktadır. Kişisel Verileri Koruma Kanunu Tasarısı’nın 14. maddesi de bu düzenlemeye yer vererek bulut hizmetinden yararlananların verilerinin güvenli bir ortamda tutulmasını sağlamış olmaktadır. Güvenli liman prensibi olarak anılan bu ilke, verilerin tutulduğu ülkelerin de yüksek düzeyde bir hukuki koruma getirdiğini ve dolayısıyla da veri sahibinin endişelenmesine gerek olmadığını göstermektedir. Oysa ABD’de benzer bir yasal düzenleme olmadığından, ABD merkezli bazı BB hizmet sağlayıcılarının güvenli liman prensibine uymuyor olmaları nedeniyle kullanıcıların risk altında oldukları söylenebilmektedir.

Kişisel Verilerin Korunması Kanunu Tasarısı’nın 15. maddesinde veri kütüğü sahibinin verilerin kaybolmasını yahut da zarar görmesini önlemek için korunacak verinin niteliği, teknolojik imkânlar ve uygulama maliyetine göre uygun teknik ve idari tedbirleri almak zorunda olduğu belirtilmiştir. Tasarı’nın madde gerekçelerinde teknolojinin ulaştığı en üst düzey dikkate alınarak bu teknolojik seviyenin sağladığı imkânların uygulanma maliyeti de göz önünde bulundurularak ‘uygun bir güvenlik tedbiri’ alınmasından bahsedilmektedir. 95/46 sayılı Direktif’in 17. maddesinde de uygun bir güvenlik tedbiri ifadesi kullanılmıştır. Kişisel Verilerin Korunması Kanunu Tasarısı’nın gerekçesinde geçen ‘teknolojinin ulaştığı en üst düzey’ ifadesi önemlidir ve veri kütüğü sahibinin bir tacir olduğu durumlarda, tacirin basiretli davranma yükümlülüğü gereği veri kaybını önleyecek nitelikte en üst düzey koruma tedbirlerini alması beklenir. Veri kütüğü sahibinin burada bahsi geçen tedbirleri almaması durumunda veri kaybı nedeniyle doğan zarardan sorumlu tutulması söz konusudur.

AB’nin 2012/0011 sayılı tüzüğünün 77. maddesinde 95/46 sayılı Direktif’den ayrılarak sadece veriyi koruyan değil, aynı zaman da veriyi işleyen kişinin de tazminat sorumluluğunun bulunduğu düzenlenmektedir. Birden fazla kişinin zarara sebep olması durumunda ise aralarında müşterek ve müteselsil sorumluluk söz konusudur.

Kişisel Verilerin Korunması Kanunu Tasarısı’nın 15. maddesi ‘Kişisel Verilerin İşlenmesine İlişkin Tedbirler’ başlığını taşımaktadır ve kişisel verilerin hukuka aykırı amaçlarla yok edilmesi, kaybedilmesi, değiştirilmesi gibi durumlarda veri kütüğü sahibini sorumlu tutmaktadır. Maddenin ikinci fıkrasında verilerin veri kütüğü sahibi adına başka bir işleyen tarafından işlenmesi durumunda, bu işleyenin


385

alması gereken idari ve teknik tedbirlerin yazılı olarak veri kütüğü sahibi tarafından bildirilmesi gerektiği hükme bağlanmış, fakat işleyenin veri kaybından dolayı doğrudan doğruya sorumlu tutulacağına dair bir hükme yer verilmemiştir. Bu eksikliğin AB’nin 2012/0011 sayılı Tüzüğü’nde olduğu gibi veri işleyenin de doğrudan doğruya sorumlu tutulması, gerektiği şeklinde bir düzenlemeyle desteklenmesi, veriyi sunucuda depolayan dolayısıyla da veriyi işleyen durumunda olan BBHS’nın sorumluluğunun da Kanun kapsamına alınması açısından yararlı olacağı düşünülmektedir.

KAYNAKLAR

Armbrust, M., Fox, A., Griffith, R., Joseph, A. D., Katz, R. H., Konwinski, A. Lee, G., Patterson, D. A., Rabkin, A., Stoica, I. ve Zaharia, M. (2009). Above the clouds: A Berkeley view of cloud computing. http://www.eecs.berkeley.edu/Pubs/TechRpts/2009/EECS-2009-28.html, (01.12.2014).

Arrasjid, J. Y., Lin, B., Veeramraju, R., Kaplan, S., Epping, D. ve Haines, M. (2011). Cloud computing with VMware vCloud Director. USA: USENIX Association.

Baker, N. (2014). New EU rules affect data privacy safe harbor. Compliance Week, 11 (127): 56-57.

Baun, C., Kunze, M., Nimis, J. ve Tai, S. (2011). Cloud computing: Web-based dynamic IT services. Berlin: Springer-Verlag.

Bilgiç, S. (2013). Türkiye, bulut bilişimin büyümesini etkileyen yasal düzenlemelerde 24 ülke arasında 18. sıraya yerleşti. http://cloudscorecard.bsa.org/2013/assets/PDFs/press_releases/Turkey_pr.pdf, (15.01.2015).

Bilişim ve İnternet Araştırma Komisyonu (2013). TBMM Bilişim ve İnternet Araştırma Komisyonu (BİAK) raporunda yer alan öneriler. https://www.tbmm.gov.tr/arastirma_komisyonlari/bilisim_internet/docs/rapor_ozeti.pdf (17.03.2015).

BSA (2013). 2013 BSA global cloud computing scorecard: A clear path to progress. http://cloudscorecard.bsa.org/2013/assets/PDFs/BSA_GlobalCloud Scorecard2013.pdf, (22.03.2014).

Court of Justice of the European Union (2015). “The Court of Justice declares that the Commission’s US safe harbour decision is invalid”. Basın Bülteni No: 117/15. http://curia.europa.eu/jcms/upload/docs/application/pdf/2015-10/cp 150117en.pdf, (15.01.2015).


386

Dutta, S. ve Mia, I. (Ed.) (2010). The global information technology report 2009-2010: ICT for sustainability. Cenevre, İsviçre: INSEAD ve World Economic Forum. www.weforum.org/reports/global-information-technology-report-2009-2010, (15.01.2015).

ENISA (2009). Cloud computing: Benefits, risks and recommendations for information security. https://www.enisa.europa.eu/act/rm/files/deliverables/cloud-computing-risk-assessment/at_download/fullReport, (15.01.2015).

European Commission (2012a). How will the data protection reform affect social networks? http://ec.europa.eu/justice/data-protection/document/review2012/ factsheets/3_en.pdf, (13.9.2014).

European Commission (2012b). How will the EU’s data protection strenghten the internal market? http://ec.europa.eu/justice/data-protection/ document/review2012/factsheets/4_en.pdf, (13.09.2014).

European Commission (2012c). How will the EU’s data protection reform make international cooperation easier? http://ec.europa.eu/justice/data-protection/document/review2012/factsheets/5_en.pdf, (13.09.2014).

European Commission (2012d). How does the data protection reform strengthen citizens’ rights? http://ec.europa.eu/justice/data-protection/ document/review2012/factsheets/2_en.pdf, (13.09.2014).

European Commission (2014). Progress on EU data protection reform now irreversible following European Parliament vote. http://europa.eu/rapid/press-release_MEMO-14-186_en.htm, (14.09.2014).

European Parliament (2012). Cloud computing. Study of Policy Department A: Economic and Scientific Policy. www.europarl.europa.eu/document/activities/cont/201205/20120531ATT46111/20120531ATT46111EN.pdf, (15.01.2015).

Export.gov (2015). “The U.S.-EU & U.S.-Swiss safe harbor frameworks”, http://www.export.gov/safeharbor/, (15.11.2015).

Forrester Research (2011). Sizing the cloud - A BT futures report: Understanding and quantifying the future of cloud computing. http://www.forrester.com, (30.03.2015).

FTC (2009). FTC staff revises online behavioral advertising principles. www.ftc.gov/news-events/press-releases/2009/02/ftc-staff-revises-online-behavioral-advertising-principles, (25.01.2015).

Grant, J. (2005). International data protection regulation: Data transfer-safe harbor. Computer Law & Security Review, 21 (3): 257-261.


387

Henkoğlu, T. ve Külcü, Ö. (2013). Bilgi erişim platformu olarak bulut bilişim: Riskler ve hukuksal koşullar üzerine bir inceleme. Bilgi Dünyası, 14 (1): 62-86.

Hill, R., Hirsch, L., Lake, P. ve Moshiri, S. (2013). Guide to cloud computing: Principles and practice. London: Springer-Verlag.

Hon, W. K., Hörnle, J. ve Millarda, C. (2012). Data protection jurisdiction and cloud computing - When are cloud users and providers subject to EU data protection law? The cloud of unknowing. International Review of Law, Computers & Technology, 26 (2-3): 129-164.

Jaeger, J. (2014). FTC enforces EU-U.S. safe harbor framework. Compliance Week, 11 (124): 26-27.

Jin, H., Ibrahim, S., Bell, T., Qi, L., Cao, H., Wu, S. ve Shi, X. (2010). Tools and technologies for building clouds. N. Antonopoulos ve L. Gillam (Der.) Cloud Computing: Principles, Systems and Applications: İçinde 3-20. London: Springer-Verlag.

King, N. J. ve Raja, V. T. (2013). What do they really know about me in the cloud? A comparative law perspective on protecting privacy and security of sensitive consumer data. American Business Law Journal, 50 (2): 413-482.

Laudon, K. C. ve Laudon, J. P. (2011). Management information systems: Managing the digital firm. 12. Basım. New Jersey: Pearson Education.

Mantelero, A. (2013). The EU proposal for a General Data Protection Regulation and the roots of the ‘right to be forgotten’. Computer Law & Security Review, 29 (3): 229-235.

MarketsandMarkets (2011). Cloud computing market: Global forecast (2010 - 2015). Rapor Kodu: TC 1228. http://www.marketsandmarkets.com, (30.03.2015).

Mell, P. ve Grance, T. (2011). The NIST definition of cloud computing-Recommendations of the National Institute of Standards and Technology. Gaithersburg, MD, ABD: NIST-National Institute of Standards and Technology. http://csrc.nist.gov/publications/nistpubs/800-145/SP800-145.pdf, (25.03.2015).

Nycum, H. S. (2001). The safe harbor principles for US compliance with the EU data protection directive. Journal of Internet Law, 4 (7): 7-10.

Onwubiko, C. (2010). Security issues to cloud computing. N. Antonopoulos ve L. Gillam (Der.) Cloud computing: Principles, systems and applications: İçinde 271-288. London: Springer-Verlag.

Oppenheim, C. (2012). Cloud law and contract negotiation. El Profesional de la Informacion, 21 (5): 453-457.


388

Özdaş, M. R. (2014) Bulut bilișimin kamuda kullanımı: Dünya örnekleri ve Türkiye için öneriler. Yayınlanmamış Uzmanlık Tezi. T.C. Kalkınma Bakanlığı, Bilgi Toplumu Dairesi, Ankara.

Rotondo, E. (2013). The legal effect of EU regulations. Computer Law & Security Review, 29 (4): 437-445.

Rountree, R. ve Castrillo, I. (2014). The basics of cloud computing: Understanding the fundamentals of cloud computing in theory and practice. USA: Syngress.

Signatories to the Statement (2013). Data protection in Europe - Academics are taking a position. Computer Law & Security Review, 29 (2): 180-184.

Smoot, S. R. ve Tan, N. K. (2012). Private cloud computing: Consolidation, virtualization, and service-oriented. ABD: Elsevier.

Subashini, S. ve Kavitha, V. (2011) A survey on security issues in service delivery models of cloud computing. Journal of Network and Computer Applications, 34 (1): 1-11.

Svantesson, D. ve Clarke, R. (2010). Privacy and consumer risks in cloud computing. Computer Law and Security Review, 26 (4): 391-397.

Tekin, N. (2014). Kişisel verilerin korunması ile ilgili Türkiye’deki kanun tasarısının Avrupa Birliği veri koruma direktifi ışığında değerlendirilmesi. Uyuşmazlık Mahkemesi Dergisi, (4): 222-262.

Tekinalp, G., Tekinalp, Ü., Atamer, Y. M., Oder, B. E., Oder, B. ve Okutan, G. (2000). Avrupa Birliği hukuku (2. Baskı), İstanbul: Beta Basım Yayın.

Trappler, T. (2010). If it's in the cloud, get it on paper: Cloud computing contract issues. http://www.educause.edu/ero/article/if-its-cloud-get-it-paper-cloud-computing-contract-issues (15.01.2015).

TSE (2013). Bulut bilişim güvenlik ve kullanım standardı (Taslak), https://www.tse.org.tr/upload/tr/dosya/duyuruyonetimi/1082/12122014170015-2.pdf, (28.05.2015).

Türkiye Bilişim Derneği (2013). 2013 Değerlendirme raporu. http://www.tbd.org.tr/usr_img/temp/2013_TBD_Degerlendirme_Raporu.pdf, (17.04.2015).

Williams, M. I. (2010). A quick start guide to cloud computing. Birleşik Krallık: Kogan Page Limited.

Xiong, J., Li, F., Ma, J., Liu, X., Yao, Z. ve Chen, S. C. (2015). A full lifecycle privacy protection scheme for sensitive data in cloud computing. Peer-to-Peer Networking and Applications, 8 (6): 1025-1037.

Documents

Dokuz Eylül Üniversitesi Sosyal Bilimler Enstitüsü Dergisi Cilt: 17, … · Koruyan, K., Bingöl, F. I. DEÜ SBE Dergisi, Cilt: 17, Sayı: 3 368 market in the information technology